Присоединяйтесь к нашим группам

Не подпускайте хакеров к машине, холодильнику и парадной двери

Не подпускайте хакеров к машине, холодильнику и парадной двери
В мире “Интернета вещей” инновации опережают безопасность.
07 12 2015
15:15

Лилиан Эблон.

Битва за контроль над “Интернетом вещей”

Компьютерный червь Сonficker, чья разветвленная бот-сеть (сеть зараженных компьютеров) в конце 2008 года поразила 15 миллиардов (именно так, -ардов!) компьютеров с операционной системой Windows, вновь поднял свою уродливую голову в середине ноября. На этот раз он поразил не лэптопы и стационарные компьютеры, а нательные видеокамеры полицейских. Что еще хуже, вирус был предустановлен уже на этапе производства. Эксперты по безопасности также попали в заголовки газет в августе, продемонстрировав возможности дистанционного управления джипом: они лишили машину способности тормозить и разгоняться, и умудрились вывести из строя двигатель.

Добро пожаловать в эпоху “Интернета вещей”. С момента пробуждения утром и до отхода ко сну вечером мы живем в мире, в котором нас все в больше окружают вещи, подключенные к Интернету и сети. Согласно с последним исследованием компании Сisco, ожидается, что к 2020 году количество подключенных устройств превысит количество людей, которые пользуются Интернетом, в пропорции 6 к одному.

К  2020 году количество подключенных к сети устройств превысит количество людей, которые пользуются Интернетом, в пропорции 6 к одному.

Все больше и больше вещей в мире приобретают цифровой компонент. Дозаторы инсулина приводятся в действие через Bluetooth, электростимуляторы и кохлеарные имплантаты подключены к сети, а у холодильников есть IP-адреса. Автомобили по сути представляют собой компьютеры на колесах, а замок на парадной двери дома можно контролировать через смартфон из любой точки мира.

“Интернет вещей” создает возможности для того, чтобы технологии облегчили и оздоровили нашу жизнь, обеспечивая мгновенный доступ к технологиям и информации. За нашим здоровьем могут присматривать Fitbits -устройства, которые носят на запястье или теле и которые способны следить за режимом сна,  частотой сердечных сокращений и даже кровяным давлением.

Термостат марки  Nest  может в цифровой форме приспособиться к нашему ежедневному графику, а камеры в дверном звонке умеют идентифицировать человека у двери и мгновенно отправлять предупреждение на смартфон. Однако электронику сопровождают связанные с ней риски.

По подсчетам исследователей, в мире работают  от 4.9 млрд до 25 млрд подключенных “вещей” - в основном компьютеры, мобильные телефоны и традиционные компьютерные комплектующие. По большей части, мы знаем, как защитить подобные устройства, а риски поддаются управлению.

Поскольку для многих сфер создается все больше устройств, ожидается, что количество подключенных вещей многократно возрастет - к 2020 году их будет, по разным оценкам. от 25 млрд до 50 млрд. Также сильно вырастут и риски.

Разработчики “вещей” зачастую задумываются о безопасности задним числом. Производитель лампочек вероятно сосредоточит внимание на люменах и цветовых оттенках, а не на строках программы и злобных хакерах. Часто устройства разрабатывают без осознания уязвимости и угроз, и лишь с намеком на понимание окружения, в котором будет задействовано устройство. Это особенно верно по отношению к краудфандинговым стартапам (а-ля Kickstarter). где каждый доллар уходит на разработку продукта и вывод его на рынок. Во всяком случае, о безопасности вероятно думают в последнюю очередь.

Вдобавок, инструменты, необходимые для того, чтобы “хакнуть вещи”, относительно недороги. Программно-определяемый радиоприемник для прослушивания радиоволн продается за $15, устройство, которое может определить местоположение и разблокировать электрокар Тесла (взломав шестизначный пароль) можно собрать за $20, а за $39 покупается возможность создания преднамеренных помех в районной сотовой связи. Защита от таких взломов может обойтись в тысячи долларов, что ставит ее в неравные условия с точки зрения рентабельности.

Вероятно, особенно важно то, что уязвимость программного обеспечение остается одной из самых больших проблем, когда речь заходит от безопасности. Даже после тщательной проверки,  в коде остаются программные ошибки - примерно одна ошибка на каждые 2000 строк программы. Хакеры используют эти ошибки, чтобы получить доступ к ПО и добиться нужного результата (например, украсть данные или запустить вредоносный код). Современное оборудование содержит миллионы программных строк, создавая широкое поле для взломов с огромным количеством возможностей для хакеров. Хотя программа бесспорно существует в цифровом мире (браузеры и операционные системы - это где-то от 8 млн до 40 млн программных строк), программа также несет ответственность за обеспечение работоспособности компонентов в физическом мире (бортовое программное обеспечение для гражданской и военной авиации содержит 14-24 млн программных строк, в то время как коммерческие и военные транспортные средства - это более 100 млн программных строк).

Даже после тщательной проверки,  в коде остаются программные ошибки - примерно одна ошибка на каждые 2000 строк программы.

Продавцы не несут ответственность за уязвимость используемой программы, и довольно сложно установить, кому предъявлять претензии, особенно учитывая  библиотеки с открытым исходным кодом и массовое повторное использование кода.  К тому же продавцы оборудования  (такие как производители лампочек) зависят от других поставщиков, которые предоставляют чипы, прошивки, программное обеспечение или протоколы для компонентов, управляемых через вай-фай и подключенных к Интернету. В отличие от регулярных выпусков “заплаток” для системы  компьютерной  безопасности (таких как Patch Tuesday для компьютеров Microsoft),  для “вещей”сегодня не предусмотрен стандартный способ  обновления программного обеспечения.  Например, после того, как в этом году выяснилось, что 1.4 млн “джипов” оказались беззащитными перед удаленной эксплуатацией хакерами, компания Сhrysler поспешно разослала “заплатки” в виде USB-флеш-накопителей.

Опережающий рост технологий обгоняет безопасность. Компаниям необходимо с самого начала поставить безопасность во главу угла, внедряя дизайн и архитектуру с защищенным доступом, применяя регулярное тестирование безопасности и “игру на стороне противника” (подход, при котором нанимаются профессионалы, чтобы “атаковать” систему и найти ее слабые места), чтобы идти на шаг впереди угроз. Также нужно стимулировать программы “отлова багов” (когда эксперты по безопасности находят и сообщают об уязвимых местах программного обеспечения продавцам в обман на официальное признание и вознаграждение).

Вероятно, предприниматели Силиконовой долины не сбавят обороты сами по себе - это не их стиль. Рабочее решение может лежать в плоскости сотрудничества между полицией и технологическими сообществами с участием широкой общественности”,  которая внесет свой вклад в борьбу с рисками. Как минимум, это означает рассмотрение закона об ответственности, в котором предусмотрены правила и стандарты ответственности за увеличение степени защищенности библиотек программ для компонентов компьютера и вновь подключенных устройств. Также необходимо установить стандарты для “заплаток”  при появлении продукта и обеспечить соблюдение этих стандартов.

В постоянно растущем мире “Интернета вещей” агрессоры уже опережают защитников. Если разработка решений по возложению ответственности в сфере программного обеспечения не станет более насущной для каждого  - включая технических разработчиков, производителей и потребителей - возможно, мы не выиграем эту технологическую войну. 


Источник: nationalinterest.org





close Не показывать больше
Теперь читать новости на мобильном телефоне стало ещё удобнее
Скачай новое приложение obzor.press и всегда будь в курсе последних событий!